Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

miércoles, 16 de abril de 2025

FALLO SOBRE DECISIONES AUTOMATIZADAS. PROTECCION DE DATOS PERSONALES - SENTENCIA DEL TRIBUNAL EUROPEO - AUSTRIA.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@hotmail.com

RESUMEN

La Sala Primera del Tribunal de Justicia Europea viene de emitir su fallo sobre una petición de Decisión Prejudicial planteada por el Verwaltungsgericht – Austria sobre pretendidas Decisiones automatizadas, incluida la elaboración de perfiles. Se adjunta la Sentencia y la Demanda sobre las Cuestiones Prejudiciales.

FALLO

El Fallo responde a las Cuestiones Prejudiciales, debiendo interpretarse estas en el sentido siguiente:

1) El artículo 15, apartado 1, letra h), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que,

en caso de que se adopte una decisión automatizada, incluida la elaboración de perfiles, en el sentido del artículo 22, apartado 1, de dicho Reglamento, el interesado puede exigir al responsable del tratamiento, como «información significativa sobre la lógica aplicada», que este le explique, mediante información pertinente y en forma concisa, transparente, inteligible y de fácil acceso, el procedimiento y los principios aplicados concretamente para explotar, de forma automatizada, los datos personales relativos al interesado con el fin de obtener un resultado determinado, como un perfil de solvencia.

El artículo 15, apartado 1, letra h), del Reglamento 2016/679

debe interpretarse en el sentido de que,

en el supuesto de que el responsable del tratamiento considere que la información que ha de facilitarse al interesado con arreglo a esa disposición incluye datos de terceros protegidos por dicho Reglamento o secretos comerciales, en el sentido del artículo 2, punto 1, de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas, ese responsable debe comunicar tal información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente, a los que corresponde ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado previsto en el artículo 15 del citado Reglamento.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

__________________________________________________________________

Diario Oficial
de la Unión Europea

Serie C

C/2025/2041

14.4.2025

Sentencia del Tribunal de Justicia (Sala Primera) de 27 de febrero de 2025 (petición de decisión prejudicial planteada por el Verwaltungsgericht Wien – Austria) – CK / Magistrat der Stadt Wien

(Asunto C-203/22, (1) Dun & Bradstreet Austria)

(Procedimiento prejudicial - Protección de datos personales - Reglamento (UE) 2016/679 - Artículo 15, apartado 1, letra h) - Decisiones automatizadas, incluida la elaboración de perfiles - «Scoring» - Apreciación de la solvencia de una persona física - Acceso a la información significativa sobre la lógica aplicada a la elaboración de perfiles - Verificación de la exactitud de la información facilitada - Directiva (UE) 2016/943 - Artículo 2, punto 1 - Secreto comercial - Datos personales de terceros)

(C/2025/2041)

Lengua de procedimiento: alemán

Órgano jurisdiccional remitente

Verwaltungsgericht Wien

Partes en el procedimiento principal

Demandante: CK

Demandada: Magistrat der Stadt Wien

con intervención de: Dun & Bradstreet Austria GmbH

Fallo

El artículo 15, apartado 1, letra h), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que,

en caso de que se adopte una decisión automatizada, incluida la elaboración de perfiles, en el sentido del artículo 22, apartado 1, de dicho Reglamento, el interesado puede exigir al responsable del tratamiento, como «información significativa sobre la lógica aplicada», que este le explique, mediante información pertinente y en forma concisa, transparente, inteligible y de fácil acceso, el procedimiento y los principios aplicados concretamente para explotar, de forma automatizada, los datos personales relativos al interesado con el fin de obtener un resultado determinado, como un perfil de solvencia.

El artículo 15, apartado 1, letra h), del Reglamento 2016/679

debe interpretarse en el sentido de que,

(1) DO C 222 de 7.6.2022.

ELI: http://data.europa.eu/eli/C/2025/2041/oj

ISSN 1977-0928 (electronic edition)

____________________________________________________________

7.6.2022

Diario Oficial de la Unión Europea

C 222/18

Petición de decisión prejudicial planteada por el Verwaltungsgericht Wien (Austria) el 16 de marzo de 2022 — CK

(Asunto C-203/22)

(2022/C 222/30)

Lengua de procedimiento: alemán

Órgano jurisdiccional remitente

Verwaltungsgericht Wien

Partes en el procedimiento principal

Demandante: CK

Otras partes: Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien

Cuestiones prejudiciales

¿Qué requisitos de contenido ha de satisfacer la información facilitada para que se considere suficientemente «significativa» en el sentido del artículo 15, apartado 1, letra h), del Reglamento general de protección de datos (en lo sucesivo, «RGPD»)? (1)

En caso de elaboración de perfiles por el responsable del tratamiento, cuando se informa sobre la «lógica aplicada», ¿debe facilitarse también, en principio (respetando, en su caso, el secreto comercial), la información que en el caso concreto permita comprender el resultado de la decisión automatizada, en particular: 1) la comunicación de los datos del interesado que son objeto del tratamiento; 2) la comunicación de las partes del algoritmo utilizado en la elaboración de perfiles que sean necesarias para la coherencia, y 3) la información relevante para establecer la relación entre los datos objeto del tratamiento y la valoración realizada?

En caso de elaboración de perfiles, ¿debe facilitarse al titular del derecho de acceso contemplado en el artículo 15, apartado 1, letra h), del RGPD, incluso en caso de objetarse la existencia de un secreto comercial, al menos, la siguiente información sobre el tratamiento concreto que le afecte, para que pueda ejercer sus derechos reconocidos por el artículo 22, apartado 3, del RGPD:

a)	transmisión de toda la información, anonimizada si es preciso, en particular sobre la forma del tratamiento de los datos del interesado, que permita verificar la observancia del RGPD;

b)	facilitación de los datos utilizados en la elaboración de perfiles;

c)	los parámetros y variables de entrada utilizados para efectuar la valoración;

d)	la influencia de estos parámetros y variables de entrada en la valoración obtenida;

e)	información sobre la obtención de los parámetros o variables de entrada;

f)	la explicación de por qué se ha atribuido al titular del derecho de acceso contemplado en el artículo 15, apartado 1, letra h), del RGPD un determinado resultado de la valoración, y aclaración del juicio que lleva aparejado dicha valoración;

g)	enumeración de las categorías de perfil y explicación de las afirmaciones valorativas asociadas a cada categoría de perfil?

¿Está relacionado el derecho de acceso que reconoce el artículo 15, apartado 1, letra h), del RGPD con los derechos que garantiza el artículo 22, apartado 3, del RGPD, a expresar el propio punto de vista y a impugnar la decisión automatizada a que se refiere el mismo artículo 22 del RGPD, en la medida en que la amplitud de la información que se ha de facilitar ante una solicitud presentada con arreglo al artículo 15, apartado 1, letra h), del RGPD solo es suficientemente «significativa» si permite al solicitante de la información e interesado en el sentido de esta disposición ejercer de forma efectiva, exhaustiva y con posibilidades de éxito los derechos que le reconoce el artículo 22, apartado 3, del RGPD a expresar su punto de vista y a impugnar la decisión automatizada a que se refiere el mismo artículo 22 del RGPD?

¿Debe interpretarse el artículo 15, apartado 1, letra h), del RGPD en el sentido de que solo cabe hablar de una «información significativa» a efectos de dicha disposición cuando la información es lo suficientemente amplia como para que el titular del derecho de acceso que allí se contempla pueda conocer si esta información facilitada se corresponde también con los hechos, es decir, si la decisión automatizada objeto de la consulta se basa efectivamente en la información facilitada?

En caso de respuesta afirmativa: ¿Cómo se ha de proceder si la veracidad de la información facilitada por un responsable del tratamiento solo se puede verificar si se permite al titular del derecho de acceso contemplado en el artículo 15, apartado 1, letra h), del RGPD conocer también los datos de terceros protegidos por el RGPD («caja negra»)?

¿Es posible resolver esta tensión entre el derecho de acceso contemplado en el artículo 15, apartado 1, letra h), del RGPD y el derecho de protección de datos de terceros revelando exclusivamente a la autoridad administrativa o judicial los datos de terceros que sean necesarios para verificar la veracidad y que se hayan sometido a la misma elaboración de perfiles, de manera que dicha autoridad administrativa o judicial haya de comprobar por sí misma si los datos facilitados de esos terceros se corresponden con los hechos?

En caso de respuesta afirmativa: ¿Qué derechos se han de reconocer, en todo caso, al titular del derecho de acceso contemplado en el artículo 15, apartado 1, letra h), del RGPD cuando se haya de garantizar la protección de los derechos de otros en el sentido del artículo 15, apartado 4, del RGPD mediante la creación de la «caja negra» mencionada en la cuestión 3b?

¿Deben facilitarse en ese caso al titular del derecho de acceso contemplado en el artículo 15, apartado 1, letra h), del RGPD, al menos, los datos de otras personas de forma anonimizada que sean necesarios para verificar la corrección de la toma de decisiones por el responsable del tratamiento con arreglo al artículo 15, apartado 1, del RGPD?

¿Cómo se ha de proceder cuando la información que se debe facilitar con arreglo al artículo 15, apartado 1, letra h), del RGPD también cumple los requisitos de un secreto comercial a efectos del artículo 2, punto 1, de la Directiva 2016/943? (2)

¿Es posible resolver la tensión entre el derecho de acceso contemplado en el artículo 15, apartado 1, letra h), del RGPD y el derecho a que no sea revelado un secreto comercial, garantizado por la Directiva 2016/943, revelando exclusivamente a la autoridad administrativa o judicial la información considerada secreto comercial con arreglo al artículo 2, punto 1, de la Directiva 2016/943, de manera que dicha autoridad administrativa o judicial haya de comprobar por sí misma si efectivamente se trata de un secreto comercial a efectos del artículo 2, punto 1, de la Directiva 2016/943 y si la información facilitada por el responsable del tratamiento en virtud del artículo 15, apartado 1, letra h), del RGPD se corresponde con los hechos?

(También) cuando se lleva a cabo tal segregación de la información que se ha de facilitar a la autoridad administrativa o judicial y la que se debe transmitir al titular del derecho de acceso contemplado en el artículo 15, apartado 1, letra h), del RGPD en caso de elaboración de perfiles, ¿debe facilitársele a este, al menos, la siguiente información sobre el tratamiento concreto que le afecte, para que pueda ejercer sus derechos reconocidos por el artículo 22, apartado 3, del RGPD:

a)	transmisión de toda la información, anonimizada si es preciso, en particular sobre la forma del tratamiento de los datos del interesado, que permita verificar la observancia del RGPD;

b)	facilitación de los datos utilizados en la elaboración de perfiles;

c)	los parámetros y variables de entrada utilizados en la consulta de valoración;

d)	la influencia de estos parámetros y variables de entrada en la valoración obtenida;

e)	información sobre la obtención de los parámetros o variables de entrada;

f)	la explicación de por qué se ha atribuido al titular del derecho de acceso contemplado en el artículo 15, apartado 1, letra h), del RGPD un determinado resultado de la valoración, y aclaración de la afirmación asociada a dicha valoración;

g)	enumeración de las categorías de perfil y explicación de las afirmaciones valorativas asociadas a cada categoría de perfil?

¿Limita de alguna manera el artículo 15, apartado 4, del RGPD la amplitud de la información que se ha de facilitar en virtud del artículo 15, apartado 1, letra h), del RGPD?

En caso de respuesta afirmativa, ¿en qué sentido limita el artículo 15, apartado 4, del RGPD dicho derecho de acceso, y cómo se ha de determinar en cada caso el alcance de la limitación?

¿Es compatible con las exigencias del artículo 15, apartado 1, en relación con el artículo 22, apartado 3, del RGPD el artículo 4, apartado 6, de la Datenschutzgesetz (Ley de protección de datos), con arreglo al cual «sin perjuicio de otras limitaciones legales, el derecho de acceso que asiste al interesado en virtud del artículo 15 del RGPD frente al responsable del tratamiento decaerá, en principio, cuando la revelación de la información ponga en peligro un secreto comercial del responsable del tratamiento o de terceros»? En caso de respuesta afirmativa, ¿qué condiciones se imponen a tal compatibilidad?

(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO 2016, L 119, p. 1).

(2) Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO 2016, L 157, p. 1).

martes, 15 de abril de 2025

TIP # 12 SEGURIDAD DEL TRATAMIENTO DE DATOS PERSONALES

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

La adopción de las medidas técnicas, organizativas y legales de seguridad en el tratamiento de los datos y particularmente en los bancos de datos personales, según el Articulo 16 de la Ley N° 29733, se realiza, teniendo en cuenta:

· El estado del arte de la técnica

· Costes de aplicación de las medidas.

· Naturaleza, alcance, contexto y finalidad del tratamiento, en función de

· Posibles riesgos para las libertades y derechos de los interesados,...

Las medidas técnicas, se refieren a políticas y procedimientos a instaurar en las empresas, organizaciones, entre ellas, figuran las relativas a:

· Determinar medidas de seguridad preventivas, de mantenimiento, reactivas; gestión de incidentes.

· Establecer niveles de seguridad: Básico, Medio, Alto.

· Identificación de los usuarios, autorizaciones, contraseñas, privilegios…

· Salvaguardas (Firewall, Cifrado, Copias de seguridad,…)

· Garantía de integridad de los datos,

· Elusión o minimización de riesgos,...

Las medidas organizativas contienen métodos y procedimientos organizativos, políticas internas, controles y planes de mantenimiento en seguridad de las empresas u organizaciones. Entre ellas figuran:

· Acceso y prohibiciones a personas autorizadas o no,

· Políticas de privacidad, intimidad

· Preservación documental, cualquiera sea su soporte, en lugares seguros

· Políticas de confidencialidad y secreto,...

Entre las medidas legales de seguridad en la proteccion de datos, podemos retener:

· Códigos de Conducta

· Regulaciones contractuales

· Guías de Procedimientos

· Marco de Gobernanza en seguridad,

· Directivas sobre seguridad, designación y funciones del Oficial de protección de datos personales,...

Adjunto en el Tip# 12, un resumen, el texto íntegro del Articulo 16 de la Ley N°29733 y algunas obligadas interrogantes para la actualización, adecuación a la normativa.

______________________________________________________

TRATAMIENTO DE DATOS PERSONALES A TRAVÉS DE TECNOLOGÍAS BLOCKCHAIN - PROPUESTA DE DIRECTRICES DEL CEPD.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

El Comité Europeo de Protección de Datos ha lanzado una consulta pública sobre las Directrices 02/2025 sobre el tratamiento de datos personales mediante tecnologías blockchain agradeciendo los comentarios que se sirvan aportar.

Dichos comentarios deben enviarse a más tardar el 9 de junio de 2025 mediante formulario apropiado.

Debe tenerse en cuenta que, el envío de comentarios, podrían ser publicados en el sitio web del CEPD.

El personal de la Secretaría del CEPD examinará todas las respuestas antes de su publicación (únicamente para bloquear envíos no autorizados, como el correo basura), tras lo cual se ponen a disposición del público directamente en la página de consultas públicas del CEPD. Los envíos no autorizados se eliminan inmediatamente. El CEPD no modifica en modo alguno los archivos adjuntos.

Debe tenerse en cuenta que, independientemente de la opción elegida, las contribuciones podrían estar sujetas a una solicitud de acceso a documentos en virtud del Reglamento 1049/2001 sobre el acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión. En tal caso, cada solicitud se evaluará conforme a las condiciones establecidas en el Reglamento y de conformidad con la normativa de protección de datos aplicable.

Todos los detalles legales se pueden encontrar en la Declaración de Privacidad Específica (DPE). Se anexa el Resumen Ejecutivo de las Directrices traducido por el suscrito del inglés al castellano con la ayuda del aplicativo Google Translator. El enlace al texto íntegro en ingles se encuentra en: https://www.edpb.europa.eu/system/files/2025-04/edpb_guidelines_202502_blockchain_en.pdf

______________________________________________________

RESUMEN EJECUTIVO

La naturaleza distribuida de la cadena de bloques (blockchain) y los complejos conceptos matemáticos implicados implican un alto grado de complejidad e incertidumbre que genera desafíos específicos en relación con el procesamiento de datos personales. En este contexto, para garantizar que el procesamiento de datos personales cumpla con el Reglamento General de Protección de Datos, RGPD, es necesario evaluar cuidadosamente los riesgos para los derechos y libertades de los interesados. Algunos de estos riesgos pueden mitigarse mediante medidas técnicas iniciales, mientras que encontrar una solución para otros riesgos de incumplimiento puede ser más difícil en esta etapa. Además, las cadenas de bloques presentan ciertas propiedades que pueden generar desafíos al abordar los requisitos del RGPD. Dichas propiedades requieren reforzar las medidas de protección de datos desde el diseño para implementar principios y derechos, como el principio de limitación del almacenamiento y los derechos de los interesados, como el derecho a la rectificación y el derecho al olvido. Por lo tanto, el responsable del tratamiento debe evaluar cuidadosamente la solución de cadena de bloques que pretende utilizar para evitar riesgos de incumplimiento y riesgos específicos para los derechos y libertades de los interesados.

Estas directrices proporcionan un marco para las organizaciones que consideran el uso de la tecnología blockchain, describiendo las consideraciones clave de cumplimiento del RGPD para las actividades de tratamiento planificadas. Ofrecen una visión general de los principios fundamentales de la tecnología blockchain, evaluando las diferentes arquitecturas posibles y sus implicaciones para el tratamiento de datos personales. Además, aclaran que las funciones y responsabilidades de los diferentes actores en un tratamiento relacionado con blockchain deben evaluarse durante el diseño del mismo y qué elementos deben considerarse al respecto.

Dependiendo de la finalidad del tratamiento para el que se utiliza la tecnología blockchain, se pueden tratar diferentes categorías de datos personales. Las directrices destacan la necesidad de la Protección de Datos desde el Diseño y por Defecto, así como de medidas organizativas y técnicas adecuadas. También ofrecen ejemplos de diferentes técnicas para la minimización de datos y para el manejo y almacenamiento de datos personales.

Como regla general, debe evitarse el almacenamiento de datos personales en una cadena de bloques si esto entra en conflicto con los principios de protección de datos. Para facilitar el cumplimiento de los principios de protección de datos, se pueden utilizar diversas técnicas avanzadas, medidas organizativas apropiadas y políticas de protección de datos adecuadas^{^[1]}. Debe utilizarse al considerar el almacenamiento de datos personales en cadena. Las directrices detallan los aspectos técnicos y las diferentes formas de implementación de dichas técnicas, destacando sus fortalezas y debilidades para ayudar a las organizaciones a elegir las medidas adecuadas.

Además, las directrices abordan la interacción entre los aspectos técnicos de la tecnología blockchain y los principios de protección de datos del artículo 5 del RGPD. Destacan la importancia de los derechos de los interesados, especialmente en materia de transparencia, rectificación y supresión. También destacan la importancia de realizar una Evaluación de Impacto de la Protección de Datos (EIPD) antes de implementar un tratamiento con tecnología blockchain y proporcionan aspectos clave que deben considerarse de forma estructurada al realizar una EIPD.

Finalmente, en el Anexo A las directrices proporcionan un conjunto de recomendaciones concisas para las organizaciones que planean establecer un procesamiento basado en blockchain.

^{^[1]}RGPD Art. 24 (1) y (2)

lunes, 14 de abril de 2025

TRANSFERENCIA DE DATOS PERSONALES SEGÚN EL NUEVO REGLAMENTO DE LA LEY N° 29733

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

El Nuevo Reglamento de la Ley de Protección de Datos Personales, Ley N° 29733, aprobado por el D.S. 016-2024-JUS y que entró en vigor el 31 de marzo de 2025, modifica el específico concepto de Flujo Transfronterizo de Datos (Artículo 15° en la Ley) por uno más general: Transferencia de Datos Personales; ampliando a su vez su alcance formal, de artículo a capítulo (Capítulo III Transferencia de Datos Personales) y su contenido.

En el anterior Tip#10-1 que publicara en mi Blog, en esta misma plataforma, el artículo 15° de la Ley solo regulaba la existencia de los niveles adecuados de protección de los datos en el país destinatario conforme a la ley; y en caso de inexistencia, las garantías del emisor.

La segunda parte del mismo artículo 15°, Tip#10- 2, se refería a aquellos casos de figura en los cuales no era aplicable stricto sensu el nivel adecuado de protección de la Ley, pero era posible de realizar la transferencia, en ocho (8) supuestos.

La ampliación del contenido en el Nuevo Reglamento extiende la regulación a una decena de artículos, en los cuales, si bien hay referencias a los dos casos de figura que regula el artículo 15 de la Ley, se añaden otros que expongo en el Tip# 11 Transferencia de Datos Personales.

La finalidad de estos Tips es principalmente pedagógica al plantear algunas interrogantes que sirven para conocer tanto, el grado de conocimientos de los titulares y encargados de los bancos de datos de cada empresa u organización y de los responsables del tratamiento de los datos personales, como el aporte para la adecuación, actualización a la normativa de protección de datos personales.

______________________________________________________